宁夏电子政务安全保障研究

　　未来的世界是网络和信息的世界，随着网络信息技术的不断发展，信息已经成为社会财富增长的源泉，为社会的进步提供的源源不断的动力;同时，随着网络经济、网络文化、网络社区等的不断发展壮大，网络也成为人们生活的重要方面，网络成为人们获取信息、进行交流和互动的重要载体，人类的每一代都会比上一代更加数字化，未来的世界是网络的世界，未来的生活将是有分散权力、全球化、追求和谐和赋予权力四个特征的数字化生存①。对于各国XX而言，电子政务(E一Government)作为一种新的XX管理模式，也正在重塑XX自身及XX与公众的交流方式。电子政务(E一Government)是传统XX和现代网络技术相结合的产物，它的发展过程就是对工业时代的XX形态进行改造的过程，在当前全球化、信息化的背景下，电子政务可以为公众提供更好的公共服务，可以增强国家的国际竞争力。但不可否认网络是一把双刃剑，由于种种原因，网络欺诈、网络病毒木马、黑客攻击等安全问题不断出现，网络安全问题也成为继金融安全、环境安全、流行疾病安全问题之后的一个非常重要的非传统安全问题。对电子政务而言，电子政务系统是以XX为主体，在它的运行中涉及许多国家机密信息和高敏感度的核心流程，任何破坏和攻击，很有可能导致政务系统的瘫痪、政务信息的泄露和篡改，进而影响XX的威信和形象，甚至造成社会公众的恐慌，因而必须尽一切可能来确保它的安全。

　　随着电子政务安全的不断发展，国内外已经形成了许多安全技术解决方案，XX也花大笔资金来引进各种安全防护技术，而现实中的情况是，许多部门采用相同的安全技术，却得到不同的安全结果，有的部门屡遭病毒和黑客的攻击，而有的部门却安然无恙，排除黑客攻击的特定目标性，我们可以说，技术都不是完美无缺的，电子政务安全问题也不能仅仅依靠技术的手段来解决，电子政务是“三分技术七分管理”，因此，解决问题的关键在于对电子政务安全管理(E-Government Security Management)的研究。基于以上的认识，电子政务安全管理己经成为当前宁夏电子政务发展所要解决的重要课题之一。

　　电子政务(E-Government)通过网络技术将XX管理职能和服务进行集成，打破了XX办事的空间和时间障碍，可以为公众提供全天候的公共服务，这大大满足了公众的需求;同时，通过互联网，XX可以实现组织结构的优化和工作流程的再造，塑造出网络时代的服务型XX。因而，稳定安全的电子政务系统应用不仅是XX的期望，更是整个社会的要求。根据网络安全理论中的“木桶效应”，①即系统的安全的水平取决于整个系统中最低的安全部分，因此，对于电子政务安全来讲，我们不能期望仅仅通过一种技术上的解决方案来实现电子政务的整体安全，而且经验也己经证明没有任何技术是完美无缺的，我们应当重视电子政务安全管理的研究，综合采用多种安全管理策略和手段，使各种安全技术成为一个有机协调的整体，这样才一能最大限度的保证宁夏电子政务的最大安全。

　　从国际上来看，电子政务安全管理在各国的电子政务发展中己经受到了越来越多的重视，X、英国、德国等国纷纷进行安全管理立法，并建立了相应的机构来对电子政务安全管理问题进行系统深入的研究和探讨，目前，对于电子政务安全管理，国外已经形成了一些较为成熟的管理模型和管理策略体系，电子政务安全问题也得到了较好的解决。而在宁夏，一方面，宁夏的电子政务系统中有许多的安全隐患和缺陷，安全管理不到位，应用系统本身面临着巨大的安全威胁;另一方面，宁夏对于电子政务安全管理问题的研究尚处于初级阶段，大多数侧重于研究技术方案制定和完善，不能形成宏观与微观相结合的整体安全管理体系，从而造成了信息泄露、政务系统瘫痪等安全事件不断出现，严重影响了宁夏电子政务的安全和公共服务水平的提高。

　　从以上的分析可以看出，电子政务安全是“三分技术七分管理”，对于电子政务安全管理问题的研究既有重要的理论和现实意义，又具有重大的政治意义。

　　对电子政务安全管理的研究是伴随着电子政务的发展而产生的，从20世纪九十年代开始逐步扩大，涉及安全标准、安全框架、安全模型、安全认证与测评等多个方面。

　　Seierrt，Jerrfeyw和Relyea在《你知道信息在国家安全中的地位吗?》①一文中对“911恐怖袭击”后的XX信息安全状况进行了整体的分析，其中对电子政务信息安全的讨论主要集中在:电子政务在国家安全中所扮演的角色、信息共享与信息安全、数据挖掘技术的成长和应用、新信息的区分归类方法等。在他们看来，在危机时刻电子政务安全的重要性更加凸显，因而XX应加强对信息安全的重视程度，提高电子政务系统的安全水平。Stibbe和Matthew在《电子政务安全》②一文中叙述了英国内陆的电子政务应用情况以及国民的普遍反映，并与整个欧洲大陆的电子政务应用状况进行比较，认为对于电子政务信息系统公共服务功能的安全性问题与民众最为相关。在他们看来，电子政务已成为国家提供公共服务的重要渠道，认为公民的身份认证的真实性问题是电子政务安全的核心问题，并对电子政务安全认证方面问题提出了一些解决方法。

　　N.Boudriga在《电子政务安全中的技术问题》③中概述了当前电子政务安全所面临的技术问题和安全挑战，以及面临的系统安全隐患和缺陷，提出了电子政务中用户身份认证问题、访问授权问题、业务处理保护问题和入侵监测问题的重要性，并强调了安全事件响应组的作用。S.Cohen在《电子政务的未来—发展趋势和潜在的问题》④中对于当前电子政务的发展趋势和存在的问题进行了深入的分析，将信息安全作为一项电子政务发展极需解决的重要内容，并建议将技术性的因素和非技术性的因素结合起来，尽快建立相关的法律和管理规定来惩处各类电子犯罪。

　　总体而言，电子政务在宁夏的发展还是一个较为初级的阶段，但近年来，随着XX对它的关注，宁夏的电子政务取得了较大的进展。近年来，宁夏学者对于电子政务以及其安全管理问题也进行了一系列的研究。

　　（一）关于电子政务安全问题的认识

　　著名电子政务专家宁家俊认为电子政务信息安全必须受到足够的重视，它应包括信息状态安全和信息状态转移安全，是一个综合性的课题，因而，在XX网络建设中应从网络物理层、网络基础应用层和网络信息应用层三方面着手进行建设。纪建悦、王元月在《试论宁夏电子政务现状、问题及发展策略》中阐述了宁夏电子政务的发展状况，分析了宁夏电子政务发展中存在的安全问题和面临的安全威胁，并提出了相应的解决方法和防范策略①。

　　（二）关于电子政务安全问题的技术解决措施

　　网络安全专家沈昌祥指出保护网络安全的技术措施主要有:严密的身份认证;实施访问控制;采取安全信息传输加密算法和电子签名;病毒和防火墙技术;入侵检测技术;安全扫描技术等。

　　任锦华在《电子政务网络和信息安全》一文中从分析宁夏国内的网络安全问题现状入手，说明宁夏当前的软硬件技术水平严重妨碍了电子政务建设中的安全保障，在文献中，他对防火墙技术、入侵检测技术和安全审计技术等当前主流的网络安全技术进行了详细的优劣分析和比较②。

　　郑晨阳和唐丹从电子政务安全中电子文档所面临的安全威胁出发，着重论述确保电子文档安全的技术策略、法律策略和管理策略，以及在电子文档安全策略实施需要注意的几个问题③。张维华在《宁夏电子政务信息安全体系建设中的几个问题》一文中比较全面的介绍了宁夏电子政务信息安全体系建设中存在的几个普遍的问题和需要注意的几个关系，以及必须解决的几个核心技术问题④。

　　褚峻、苏震在《电子政务安全技术保障》一书中针对电子政务系统建设与运行过程中所遇到的安全问题，介绍了网络环境下的安全技术保障体系。阐述了数据加密技术、信息隐藏技术、安全认证技术、公钥基础设施PKI技术、物理隔离、虚拟专用网VPN等系统的安全原理与技术特征以及两种电子政务系统的安全解决方案⑤

　　（三）关于电子政务信息安全风险控制

　　孟祥宏在《电子政务信息安全风险管理研究综述》一文中从信息安全风险管理的视角对电子政务信息安全风险评估、风险管理的模型与方法以及电子政务信息安全管理实践等方面的相关文献进行了研究，对于电子政务信息安全风险进行了理论和实践上的比较分析⑥。邵燕斐，王小斌在《电子政务的安全风险及对策选择》一文中主要讨论了电子政务信息安全中的物理风险，技术风险，管理风险、技术风险，着重于从技术和立法的角度对防范相关风险进行了较为深刻的论述。

　　从以上可以看出，宁夏学者对电子政务安全的研究也比较多，但从总体上看，主要集中在对电子政务安全问题的论述、安全技术的介绍、电子政务安全建设原则、电子政务安全安全策略、技术层面的安全体系建设等方面，缺乏更为深入的研究，尚处在初级阶段。

　　当前在电子政务安全管理的研究中主要存在以下几个问题:一是这些研究中大部分是从技术领域展开研究，就技术而谈技术，没有很好的把技术和管理、规划相结合。二是人们对电子政务安全的认识和把握大多还停留在感性的、局部的认识，未能充分认识到此问题对社会发展和社会稳定的严重危害性。三是对于应对电子政务安全管理的对策大多过于笼统化，可操作性欠佳，未能提出切实可行的有针对的对策，未有较为完整的关于宁夏安全管理问题的论述。

　　电子政务安全是关系XX和社会稳定的重要问题，但如果仅仅寄希望于技术上的“完美解决方案”，安全是很难得到保证的，因为任何技术都不是完美无缺的，随着安全环境、攻击技术、密码破译方法的发展，新的威胁又会产生，而且所有的技术都是由人来进行操作的，如果不能把管理和技术进行结合，再先进的技术也是没用的，因而，电子政务安全管理是贯穿于电子政务的整个发展过程中。就宁夏电子政务安全发展历程来看，宁夏的政务安全建设也是随着电子政务的不断深化而不断推进。最早开始于通信保密的管理，早期注重对通信环境和信息的安全加密管理，随着电脑在XX工作中发挥越来越多的作用，安全建设的重点也转向了对单机数据的保护，主要是对单机系统或局域网内少数服务器进行必要地安全防护。在进入21世纪后，随着宁夏电子政务的不断发展，政务系统面临的安全环境越来越复杂，宁夏的电子政务安全建设也逐渐转向了整个政务网、安全技术解决方案和安全策略等各个方面，逐渐形成具有整体性、战略性的政务安全管理框架，对安全技术、安全策略、安全战略等各个层面有了较好的发展。

　　宁夏的互联网经过多年的发展，网络规模不断扩大，网络资源的丰富性、主干网络的带宽等基础性指标不断上升，网络的便捷性逐渐体现，网络带来了无限的商机，网络经济成为宁夏经济发展的重要推动力，但同时也将严峻的挑战摆在我们的面前，网络犯罪不断增加、病毒木马变种不断、安全问题不断出现，宁夏的网络安全状况有不断恶化的趋势，总体上讲，宁夏的电子政务安全环境呈现以下几个特点:

　　21世纪，网络成为人类进步的工具，它使人类可以摆脱长期的艰苦的劳动，公众也期望网络可以使社会的平等和公平真正落到实处，但从事实来讲，网络不仅没有使人们的机会的获得平均，甚至使人与人的差别拉大了，因为网络给人类带来不可低估的难题—数字鸿沟问题，由于网络利用的不均而出现信息穷人和信息富人，从而导致了新的社会不公，“数字富人”与“数字穷人”日渐显现。

　　从CNNIC公布的《第25次中国互联网络发展状况调查统计报告》来看，宁夏互联网的普及率为28.9%，但网络发展存在明显的“东中西”现象和城乡差距。东部:互联网发展水平好，普及率高;中部:互联网的普及率略低于全国平均水平;西部:互联网发展水平较为滞后。从网民城乡的结构对比来看，宁夏的城市网民占绝对的多数，而农村则处于少数的地位。

　　由此我们可以看出，宁夏在网络普及上还存在很大的“数字鸿沟”问题，因而，我们可以说如果宁夏XX无法解决好“数字鸿沟”问题，无法缩小城乡之间、东中西部之间的网络发展差距，XX电子政务建设也就是“无源之水无本之木”，无论XX的电子政务搞的多么完善，最终都不会实现为广大的人民服务的目的。

　　（一）外部安全威胁

　　第一，病毒破坏。病毒威胁不单是电子政务系统所面临的安全问题，也是让每个互联网用户头疼的问题。病毒的危害性特别大，从历年的安全统计数据来看，病毒危害从破坏文件、占耗内存到干扰系统运行、系统运行过载等无所不至，防不胜防。宁夏的电子政务网络结构大多是内外网结构，一旦内网内的一台电脑感染病毒就可能危及整个网络的安全。

　　第二，后门木马。后门木马程序是近十年来发展起来的一种病毒，但它的危害大多是隐形的，但它的危害和普通的病毒相比更大，因为后门木马是以窃取信息和情报为目的，对于电子政务而言，它可以在用户不知情的情况下窃取重要甚至机密的政务信息，对国家安全和社会安全会产生巨大威胁。

　　第三，黑客攻击和信息间谍。这是有人直接参与的，也是很常见的一种安全威胁，黑客们处于各种目的，对系统进行入侵、网络窃听、密文破译、流量分析、密钥破解等活动，可以做到病毒和后门等同样的结果，而且可以根据黑客自己的偏好来重新配置目标主机数据和信息。

　　第四，信息恐怖活动和信息战争。主要是国与国层面的信息战争，这种威胁虽然不是经常出现，但它的危害不容小视，它们常常以摧毁国家信息基础设施、制造并散布恐怖信息、发布虚假信息、窃取军事情报、攻击指挥系统及破坏社会经济等为目的。

　　第五，自然灾害。因温度、湿度、灰尘、雷击、静电、地震等因素引起的设备损坏，这种危害发生的几率较小，但一旦发生，后果往往是灾难性的。

　　（二）内部安全威胁

　　第一，安全意识不强。这主要体现在系统管理员和大多数的网络用户身上，因为思想麻痹、经验不足及对后果的估计不足等原因，降低了系统安全设置，导致感染病毒或系统缺陷。

　　第二，恶意破坏。主要是内部安全人员因为各种原因对内部服务器和网络设备所进行的破坏数据、转移资产、设置故障及损坏设备等活动。

　　第三，内外勾结。主要是内部人员为了金钱等利益，与外部敌对势力合作，向其出卖情报、透露口令、入侵系统、破坏数据、破坏系统等

　　第四，滥用职权。非职责查看内部信息、非职权使用系统等

　　第五，管理疏漏和操作不当。体现在管理上制度不完善、人员组织不合理、缺乏监控措施及权责不清等，在具体操作上对数据损坏或丢失、硬件损坏及垃圾处理不当，管理员的误操作会导致系统运行的过载，严重时会影响硬件的物理特性，导致其机械特性和功能特性损坏。

　　第六，软、硬件故障。电磁泄露、操作系统漏洞、数据库故障、协议漏洞、设备老化等。

　　宁夏的网络一直存在管理不规范、电脑病毒泛滥、黑客攻击频繁等的问题，特别是9.11事件后，全球的信息安全领域的氛围渐趋紧张，宁夏也受到这些的影响，近几年来宁夏的XX和商业网络不断遭到来自国内外的电脑病毒和黑客的侵袭，据专业部门统计，宁夏与互联网的网络管理中心95%都遭到过境内外黑客的攻击或入侵，攻击也从原来的只光顾大型网站转为捎带攻击毫无防备的普通用户，使其成为“肉鸡”。宁夏的病毒产业和黑客产业也在不知不觉中发展起来了。来自国家计算机病毒应急处理中心的统计数据，2009年宁夏全年新增病毒数超过2401516个，其中木马数量达到1983349个，共发现被计算机病毒感染的计算机577535020台次，计算机病毒感染率为70.51%，与前几年相比，仍然维持在比较高的水平①。

　　在病毒木马背后早已日渐形成一条巨大的灰色产业链。无论是网上银行中真实货币，还是网络游戏中的虚拟财产，都有被欺诈和盗窃的威胁。制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，他们的分工明确，形成了一个非常完善的作业流程。举例来讲，对于最近几年的病毒调查发现，像熊猫烧香、灰鸽子等病毒在传播过程中都有组织化、规模化、公开化的团伙在幕后推动，作案团伙成员分工明确，各司其职，人员数量庞大，获利数额让人膛目，病毒产业已经成为网络安全的最大威胁。

　　近几年来，宁夏信息安全事件的发生己经由互联网发展到基础网络，突出了安全问题的不断加剧，同时，安全损害也从间接的损害发展到直接的破坏，从局部发展到广泛，由少量损失发展到高额代价，特别是XX的网站或机密信息遭到入侵和窃取，损失往往是无法用金钱来衡量的。

　　这几年，网络犯罪逐渐发展为有组织的行为，由过去的“黑网页”、“改内容”等损害形式发展为直接人为破坏、对机密商业信息和个人隐私的窃取。安全问题的影响也由一个部门和一个局部网络发展为干扰国家管理和社会稳定的程度。随着网络攻击手段的加强，网络损害的影响不断加强，无论是人为破坏，还是技术故障，均需要我们付出相当大的代价。

　　从以上的分析，我们可以看出，宁夏的电子政务发展尚处在“单向信息发布”向“双向交流”的转变阶段，各个业务内容尚在初步建设之中，从总体上讲，仍有很长的路要走。电子政务安全本身面临许多的安全威胁，而对于宁夏的电子政务安全而言，宁夏电子政务安全环境更是不容乐观，各种针对XX部门的攻击、病毒侵袭不断。因而，我们必须对安全问题有足够的重视。

　　通过对电子政务安全管理的探讨，我们知道电子政务安全管理是一个涉及多方面问题的概念，安全管理存在于电子政务建设和运行的各个阶段，而如果在一个环节出现弱点，则可能会影响系统的整体安全，因而我们在探讨电子政务安全管理时必须要从总体上去把握，这样刁‘能事半功倍。近几年来，宁夏电子政务系统的安全管理得到了长足的发展，但在现有阶段，宁夏电子政务安全管理仍存在许多的问题和不足。

　　电子政务系统内部的流通文件、信息、指示等涉及国家核J自政务，有些甚至涉及国家机密，电子政务的安全关系到国家的安全和整个社会的利益，因此电子政务安全的实施和管理必须以国家法律的形式将其固定化，规范各方面的行为，并为司法提供法律依据。

　　在宁夏，电子政务发展经历了二十年的发展，虽然在网络信息安全、电子政务方面颁布了一些信息安全法律法规，取得了一定的进步，但与国际对比，宁夏的电子政务方面的立法仍较为落后，无法满足技术和系统方面的应用需求，而专门针对电子政务安全管理方面的法律更少。

　　当前，宁夏电子政务安全管理的发展中，除了在电子政务安全管理立法方面存在着诸多的问题之外，在电子政务安全管理组织、机构设置和职能分配上也存在着不少的问题。

　　(一)安全管理职能分散，协调管理能力差

　　电子政务宁夏的电子政务系统大多是各个部门牵头组建，对于它的安全管理也大多存在于部门内部，而在国家层面上，对电子政务安全的管理权限分布于国家安全局、国家保密局、公安部、工业和信息化部等部门①。电子政务安全管理职能尚处在条块分割，各行其是，相互隔离的阶段，在遇到职能交叉的问题时，多头管理的现象时有发生，这样极大的妨碍了国家有关法规的贯彻执行，很难对宁夏的电子政务安全做统一而有效的管理。2001年成立的国家信息化领导小组虽然统领宁夏的电子政务工作，但在电子政务安全上缺乏一个具有最高权威的统一机构，信息安全相关的管理机构与国家信息化领域机构之间还没有充分沟通，缺乏统领全局又有具体职责和行动的国家级的安全管理机构，各部门在应急处理时，大都处于单兵作战的状态。

　　(二)人员安全责任界定模糊

　　电子政务安全管理工作是责任工程，任何参与其中的人员都必须有责任意识，在《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003」27号)中，明确指出宁夏信息安全保障工作必须实行信息安全责任制，要按照谁管理谁负责、谁运营谁负责的原则，将安全责任落实到人。但在实际的工作中，我们经常会发现许多部门的安全责任界定模糊，对于电子政务系统管理员、信息管理员等直接与系统接触的人员的责任规定较为严格，而对于平常的公务员的安全责任的规定则较松懈;在有些部门的安全责任规定仅仅是一纸空文，并不能落到实处。

　　(三)整体安全意识薄弱

　　电子政务是“一把手”工程，这一理念已经在世界范围内达成了共识，而对于电子政务安全管理来讲，这一理念同样适用于电子政务安全管理之中了D。强调“一把手”工程仅仅是明确了安全管理需要领导的重视和支持，并不是否认普通职员的作用，但在实际中，“安全是领导要考虑的事情”、“安全管理与我无关”的思想在公务员中流行，整体安全意识不强。而要确保电子政务的整体安全需要普通公务员、技术支持团队、安全管理团队的协同合作，因而这种“安全与我无关”的思想绝对要不得。

　　电子政务是建立在Internet之上的网络系统，它需要规模巨大的基础设施的支持，对于安全而言，统一、安全、顺畅的安全基础设施的运行更是电子政务安全运行的前提和保证。就一般而言，安全基础设施主要包括统一的网络安全平台、数据容灾备份中心、安全认证与测评中心、统一的安全认证PKI体系、病毒防护和应急响应机构等。安全基础设施的建设和管理就如一座大楼的地基，它的好坏直接决定了整个电子政务安全的水平。宁夏的安全基础设施建设和管理在最近十多年里有了巨大的进步，但也存在许多的问题。

　　电子政务安全建设是一项系统工程，因而对电子政务安全做好整体规划，进行系统地安全风险分析，以项目化的运作来保证项目进度和质量，这是国外电子政务安全建设的普遍经验。宁夏在这一方面还有许多的问题亚待解决。

　　(一)电子政务安全设计缺乏规划

　　“凡事预则立，不预则废”这是宁夏古代劳动人民智慧的总结。而在宁夏的电子政务安全建设中，现有的文件大多是纲领性的文件，规定较为模糊，缺少对具体设计和实施工作有指导意义的总体规划。在这样的情况下，宁夏当前的电子政务安全建设中，一些地区和部门只能根据自己的理解和需要进行设计和实施，系统的建设各自为政、结构不合理、标准不统一、互连互通不畅，一方面导致宁夏的电子政务的公共服务功能无法发挥，另一方面导致系统问题处理缺乏统一而系统的方法，严重制约宁夏的电子政务安全发展。因此，在信息安全问题上，国家不仅缺乏一个具有权威性的统一的信息安全管理机构，还缺乏一个与国家信息化进程相一致的信息安全工程规划①。

　　(二)电子政务安全风险评估机制尚不健全

　　任何项目在进行设计和实施之前都必须进行必要地安全风险分析和评估。对于电子政务安全建设而言，一方面通过安全风险分析可以了解系统的风险状态，确认安全威胁的可能性和后果，为系统设计和实施提供设计指导;另一方面，通过安全风险评估可以找出当前电子政务系统中的安全薄弱环节，并预见可能的安全弱点，在系统上线前提早进行安全策略的制定和改进，为安全运行管理打下良好的基础。当前，在宁夏的电子政务安全项目建设中已经开始引入了安全风险分析和评估机制，但总体而言，还是处在初级阶段，仅对所面对的安全威胁进行分析和预防，无法实现对系统整体风险和安全弱点的评估。特别是在在对网络安全域、安全威胁分级、应急处理预案等方面的风险分析机制相当缺乏。

　　(三)电子政务安全项目管理水平较低，难保证项目质量

　　电子政务安全建设的管理是一项系统的管理科学，电子政务安全项目遵循项目管理的流程，也必须有系统的需求分析、风险分析、系统设计、系统实施、系统测试、系统验收等多个环节，只有以严格的项目管理方法和手段为保障，才能建设出符合实际的高质量的电子政务安全系统。

　　但在当前，一些部门的电子政务安全项目设计中，没有发展规划，也不做安全风险分析，没有建设重点和先后顺序，许多部门的安全系统设计都是外包给IT公司，自己做起了“甩手掌柜”，而且XX在电子政务安全项目管理中的监管意识不强，对外包公司的管理松懈。由于IT公司对XX运作流程的不了解，再加上与XX部门的沟通不畅，在系统设计和实施时往往会想当然的进行建设。这样建设出来的安全系统，要么不符合XX的实际，无法保证电子政务的最大安全，要么与XX运作流程相抵触，使安全系统的后续管理更加困难。

　　随着电子政务安全环境的恶化，电子政务安全管理问题会越来越多，但如果仅仅依靠单一的安全策略和管理措施是无法保证电子政务安全的最大化。笔者认为，在当前宁夏电子政务的安全管理要着眼于解决以下几个方面的问题。

　　电子政务安全管理的参与者的安全意识和错误的安全观念是电子政务安全的大敌，对于电子政务安全而言，只有XX部门对电子政务安全的现状、管理目标、重要性和建设原则有清醒的认识才能提高宁夏的电子政务安全水平。因此在XX中树立正确的电子政务安全观是我们进行电子政务安全管理的先决条件。

　　(一)分清主次，树立有所为、有所不为的安全观

　　一个电子政务系统安全保密性能超出安全保密的管理要求不但没有必要，而且还会造成资金上的浪费，因此，在电子政务建设中，我们应奉行有所为、有所不为的安全观。对于存有大量机密信息的XX部门、核心机构可以暂时不进行面向社会的电子政务建设，待技术和管理成熟时再进行建设。而对一些社会部门、经济部门，可以加快电子政务安全建设。在技术和管理策略不是很完善的条件下，应该以“过程”的角度去考虑安全问题，“边发展边安全”的做法不失为一个很好的解决方法。

　　(二)树立相对安全的观念，避免进入“绝对安全”的误区

　　就像任何事情都有两面性一样，安全也是相对的。没有绝对安全的地方，但也不是所有的地方都不安全，这是安全问题的悖论，安全是一种平衡的游戏，安全的界定随着时间、地点的不同而变化，信息安全是一种没有底线的风险游戏①。对电子政务而言，系统的安全策略总不可能保证绝对的安全，因为对任何技术或安全策略来讲，给人足够的时间都是可以攻破的。因而，我们在进行电子政务安全建设和管理中首先要树立相对的安全观，在现有条件下可以保证该保护的系统和信息资源的安全就是最好的安全。盲目追求“绝对的安全”，到头来既会造成投资的浪费，也会使该保护的没有保护好，无法发挥安全系统的最好效用。

　　电子政务安全管理是在电子政务安全系统之中进行的。从宏观的角度来讲，电子政务系统是XX工作的一部分，XX的法律、制度、组织安排会对电子政务安全管理的水平和效率产生极大的影响，因而，构建完善的安全法律、制度和组织保障体系是提高电子政务安全管理水平的重要方面。

　　对电子政务安全管理而言，安全法律建设是核心，没有完善的安全法律体系就不能很好的规范电子政务建设中的相关问题，安全管理也就成了“无源之水，无本之木”①。目前宁夏已颁布相当数量的信息安全方面的法律规范，但从总体上来讲，这些法规的立法层次不高，大多数是由xxxx制定的行政法规;立法理念相对滞后;电子政务安全的立法还处于一个纲领性规定的阶段，有些方面规定的较为笼统，缺乏可操作性;己出台的法规之间的协调性和相通性不够。

　　对于以上问题，笔者认为应从以下几点进行规范:

　　第一、由“堵”为“疏”的安全法律设计理念。安全法律的设计理念要由单纯的规范、控制转变为电子政务安全建设提供帮助，改变以往的“堵”的思想，变为“疏”，具体来讲，要从彻底改革国家传统的政务管理体制入手，将滞后的管理方法和管理策略进行有选择的使用，同时要从整个电子政务发展的高度，将立法的出发点放在扫清建设和管理的障碍上，放在规范化、标准化上。

　　第二，参与国际信息安全法律体系建设。电子政务是建构在互联网的基础之上的，而互联网是全球性的，同时各国也都存在着政务安全问题，因此，我们可以说电子政务安全问题是一个全球性的问题，这也决定着我们必须以全球化的视角来审视电子政务安全问题，加强国际合作与交流，共同防御。首先，宁夏的电子政务安全相关法律尚处于初级阶段，所以，我们要借鉴国外的安全法律制度，结合宁夏实际制定完善的安全法律体系;其次，我们要积极参与国际安全标准和准则的制定，充分争取宁夏的网络安全利益，主动融入国际大环境，参与制定“国际游戏规则”，维护宁夏的实际利益。

　　第三，将安全法律的建设与安全标准的制定结合起来。当前信息技术突飞猛进，法律的制定不应该只是被动适应，而应当对技术进行主动的规范，从国际经验来讲，一种新的技术的标准的制定正是这种技术成熟的重要标志。从宁夏的实际来讲，宁夏的安全标准的制定和安全法律体系存在“双低”的情况，因而宁夏在电子政务安全法律建设中更应当应将法律制定与标准的规范化结合起来，以安全法律的制定带动安全标准的完善，以安全标准规范促进安全法律体系的完善。

　　总而言之，及早建立并完善宁夏电子政务安全法律体系，只有这样才能做到依法治网，依法建设，有法可依，有法必依。

　　从根本上来讲，所有的网络应用都是在国家网络基础设施的基础上建立起来的。国家网络基础设施可以理解为包括基础网络硬件(如主干网中的hub、switch、router、服务器等)、基础网络协议(如TCP/IP、F仰、SSL、SET等)、基础网络应用(如电子邮件、网页浏览等)和面向高级应用的统一的网络测评与病毒防护等服务的综合体。网络安全基础设施作为其中重要的内容，是当前绝大多数网络应用的基础和第一道安全屏障。

　　对于电子政务安全而言，网络安全基础设施可以为其提供信息安全公共服务和支撑的社会基础设施，方便电子政务安全防护机制的快速配置，有利于促进电子政务安全的发展，有利于安全职能部门的监督和执法。对网络安全基础设施的建设和管理，是国家电子政务安全管理体系的重要一环。从宁夏的现实来讲，经过二十多年的发展，宁夏的网络基础设施趋于完善，初期的巨大投入开始有了回报，在今后的发展中，笔者认为，网络基础设施的重点也应从建设逐步转向对基础设施的管理和体系的完善上。

　　(一)完善信息安全标准认证管理

　　在网络安全中，制定统一的安全标准有利于安全产品的规范化，有利于保证产品安全可信性，实现对产品的统一部署，有利于电子政务系统的互联、互信和互操作性，保障电子政务系统的安全可靠。在网络基础设施中，安全标准的制定是最基本的环节，虽然它输出的仅仅是一些标准化的文档，但这些标准化的安全文档正是实现更高级的应用的基础，没有这些标准化的安全文档，更高级的安全应用都只是“空中楼阁”。从总体上讲，信息安全标准规范包括电子文档密级划分和标一记格式、安全事件处理、应急响应规范、密码算法标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等内容。

　　为完善宁夏未来的信息安全标准化，要重点完善三个方面的安全标准:首先，为配合PKI安全认证平台的建设，要尽快完善PKI/CA公钥基础设施相关标准的制定;其次，完善相关安全流程和要求的标准，对于工程质量、安全操作、安全测评要求等;第三，尽快完善相关安全技术标准。

　　(三)完善国家安全测评与认证体系

　　正式建立宁夏的信息安全测评认证体系，由三部分组成:国家信息安全测评认证管理委员会、中国信息安全产品测评认证中心和授权测评机构。从总体上来讲，宁夏的信息安全认证体制基本形成了。

　　从以后的发展来看，宁夏的信息安全测评认证体系要注意以下几方面:一是逐步与国际接轨，与国际认证标准同步发展，加紧制定相关安全测评标准，提高宁夏的安全认证水平。其次，认证方式要实现单一到多样化和复合型的转变。目前宁夏的安全测评认证主要以型号认证为主，在未来的发展中要实现覆盖安全产品、安全服务、安全系统、安全流程等全过程的安全认证体系。第三，随着新技术和新标准的出现，安全测评与认证技术要不断的进步与创新，充分保证对信息安全产品的测评质量。

　　(四)构建国家级病毒防护安全平台

　　伴随网络的发展，病毒威胁也在不断增强，而病毒的破坏不容小视，轻则造成软件故障、系统崩溃，重则造成数据丢失、硬件故障。

　　宁夏的网络病毒防护体系建设尚处在初级阶段，宁夏初步建成了以国家计算机病毒应急处理中心为基础的病毒防护机构，但具体来讲，它们在对病毒的防护上只是提供预警、通告等形式上，很少提供较为具体和实际的安全防护和病毒处理策略。宁夏电子政务部门系统和信息的安全绝大多数还是要靠自身的安全保障体系的防护。就当前而一言，建设覆盖全国网络的病毒防护安全平台势在必行，统一的国家基础病毒防护平台的建设可以很好的提升宁夏抗击计算机病毒的能力。

　　从电子政务安全的角度来看，国家基础网络病毒防护平台可以为电子政务部门提供较为基础的病毒防护措施和安全预警机制，如向各个部门的安全主管机构通报最新的安全威胁及安全漏洞信息，跟踪整个网络的病毒情况，及时开发新的特征码和相关防护技术。同时，对于各部门的电子政务系统的病毒防护进行指导和支持。在国家基础病毒防护安全平台的建设中，XX要加强与大的病毒防护软件厂商的合作，充分利用它们的病毒检测和防护能力，努力打造出覆盖全国的基础病毒防护平若入台

　　(五)加强应急响应机构的协作管理

　　安全不是百分之百的，任何系统都有被入侵的危险，因此，应急响应成为任何一个系统所必须考虑的问题。但如果仅仅从某个单位和部门的角度来考虑，应急响应明显会有许多的局限性，每个系统都需要相互的协作和外部的支持。国家建设的综合性的应急响应机构就是为了更好的处理这个问题而出现的。

　　从国外的电子政务建设经验来看，许多电子政务发展较好的国家都建有应急响应体系，可以为XX的政务系统提供安全预警、安全监控、入侵检测和灾难恢复等服务，这就从国家的层面上对电子政务系统安全有了保障。

　　当前要逐步建立覆盖全国的安全技术支持服务体系。在己经成立的各国家信息中心技术支持分中心中要充分利用网络、电话等技术手段，结合内外部的技术力量，在应用系统建设和运行过程中，做好安全软件研发、推广、维护、升级等技术支持服务工作。同时规范技术支持体系的运行，建立以省级运行维护为单位的安全技术支持节点，建立起相应的灾难恢复和数据备份中心，并与威胁预警体系、病毒防护体系相连接，各部门间实行协作运行机制，切实处理好紧急电子政务安全事件。

　　从总体上来讲，电子政务安全系统的生命周期包括建设阶段和运行维护阶段:而从管理的角度来看，这两个阶段涉及到两个不同的管理类型—项目管理和与运营管理，具体来讲就是电子政务安全系统项目管理和电子政务安全系统运行维护管理。从时间上来说，系统的建设是先于系统的运行维护的，而一个系统的建设的质量的好坏既会影响到系统的健壮性和稳定性，也会影响到系统上线后的运行和维护成本。因而我们可以说，电子政务安全项目的管理决定了整个电子政务安全系统的安全程度和管理难度。电子政务一方面会涉及到国家机密信息，任何的疏忽都可能威胁到国家xxx的稳固，另一方面，电子政务要以公众利益为导向，实现为公众服务的目标。因而，电子政务安全项目系统不同于一般的商业系统的建设，但电子政务安全项目管理是具有项目管理的一般性特征，即面向一次性、独特性和不确定性的例外活动。因而，我们可以从一般项目管理的角度对电子政务安全项目管理进行进一步的分析和探讨。

　　当前对于电子政务安全问题的解决，在技术层面已经有较多的安全技术解决方案，但技术仅仅是着眼于设备硬件，很难对更深层次的安全问题，如安全责任、安全意识等进行控制，而且技术是一把“双刃剑”，它的好坏决定于谁在用，怎么用。对于安全来讲，任何一个细小的漏洞或弱点都会导致整体的不安全，而据统计报告，大多数安全问题的原因都在于内部安全意识的不强、安全管理不善。

　　电子政务安全问题的解决需要技术和管理两方面的共同配合。技术层面着眼于解决安全问题的客观因素，管理层面侧重于主观因素。电子政务安全管理是安全制度建设、机构协调、管理流程优化、基础设施的保障和建设与运行管理的配合。在电子政务安全管理方面，宁夏还有很长的路要走。

　　总之，我们不能期望于仅仅通过技术的手段就可以确保电子政务的安全，也不能期望仅仅通过一种方法或一种策略来实现电子政务的整体安全。我们要将技术与管理结合起来，同时采用多种管理策略和手段，灵活调配各种安全技术和策略，这样才能最大限度的保证宁夏的电子政务的安全。

　　1.【美】尼葛洛庞帝:《数字化生存》(胡泳等译)，海南出版社，1997年版，第269页。

　　2.又称短板理论，由X管理学家彼得提出，核心内容为:一只水桶盛水的多少，并不取决于桶壁上最高的那块木块，而恰恰取决于桶壁_!二最短的那块，在网络安全中指系统的安全性取决于系统女全最低的部分。

　　3、黄洋斌:《基十PZDR模型的安全解决方案研究》，《计算机与信息技术》，2007年第29期。

　　4、侯小梅毛宗源:《基于PZDR模型的安全技术》，《计算机工程与应用》，2000年第23期。

　　(l)纪建悦上元月:《试论宁夏电子政务现状、问题及发展策略》，《科学学与科学技术管理》，2002年第6期。

　　5、任锦华:《电子政务网络和信息安全》，《电子政务》，2005年第1期。

　　6、郑晨阳唐丹:《电子政务中电子文档安全策略研究》，《信息管理》，2004年第3期。

　　6、张维华:《宁夏电了政务信息安全体系建设的几个问题》，《电子政务》，2005年第8期。

　　国褚峻苏震:《电了政务女全技术保障》，中国人民大学出版社，2004年版。

　　7、孟祥宏:《电了政务信息安全风险管理研究综述》，《电子政务》，2009年第8期。

　　8、吴亚非:《决胜电子政务安全—电子政务安全建设中的问题与对策》，信息化建设，2004年第3期。

　　9、李峰:《电子政务安全面临的问题与对策》，《沈阳干部学刊》，2005年第6期。

　　10、柯亚贤:《浅析宁夏电子政务的安全管理》，《科技风》，2009年第2期。

　　11.杜文忠:《电子政务系统越“安全”越好?))，《中国信息界》，2005年第11期。

　　12.安水勇:《电子政务女全—法律的视角》，《信息网络女全》，2006年第7期。

　　[l]阿尔温·托尔勒.第三次浪潮〔M]，北京:中信出版社.2006年版.

　　[2]阿尔温·托尔勒.权力的转移[M]，北京:中信出版社，2006年版.

　　[3]曼纽尔·卡斯特著，夏铸九，王志弘译.网络社会的崛起[M]，北京:社会科

　　学文献出版社，2003年版.

　　[4]尼葛洛庞帝.数字化生存[M]，海南出版社，1997年版.

　　[5]唐·泰普斯科特，阿特·卡斯顿著，米克斯译.范式的转变—信息技术的前景[M]，大连:东北财经大学出版社，1999年版.

　　[6]陈兵.电子政务安全技术[M]，北京:北京大学出版社，2005年版.

　　[7]陈兵.电子政务技术与安全[M]，北京:北京大学出版社，2003年版.

　　[8]党跃武.信息管理导论[M]，成都:四川大学出版社，1995年版.

　　[9]胡昌平.信息管理科学导论[M]，北京:高等教育出版社，2001年版.

　　[l0]侯卫真，于丽娟.电子政务系统建设与管理[M]，北京:中国人民大学出版社，2004年版.

　　[11]金江军.电子政务高级教程[M]，北京:中国人民大学出版社，2005年版.

　　[12]李会欣.电子XX安全运行引论[M]，北京:中国经济出版社，2003年版.

　　[13]苏新宁，吴鹏，电子政务案例分析[M]，北京:国防工业出版社，2005年版.

　　[15]唐重振.电子政务教程汇[M]，北京:国防工业出版社，2009年版.

　　[16]王长胜.中国电子政务发展报告[M]，北京:社会科学文献出版社，2003年版.

　　[17]丁先存，王辉，段华洽.论电子政务中信息安全及法律保护[J].中国行政管理2002，(10)·

　　[18]丰洪才，吴煌煌，汪军.电子政务中的网络信息安全设计[J].计算机与数字工程，2004，(03).

　　[19]高广生.宁夏发展电子政务的问题及对策[J].改革与理论，2002，(10).

　　[20]胡安韩.信息资源开发与利用探讨[J].广西科学院学报，2002，(2).

　　[21]李建设，卢辉斌，陈淑清，徐天赋.电子政务系统安全的框架性解决方案[J].计算机工程与设计，2007，(14).

　　[22]李丽萍.安全电子政务信息系统的设计与构建[J].中国数据通信，2003，(03).

　　[23]李绪蓉，徐焕良.XX信息资源管理分析[J].电子政务，2005，(04).

　　[24]林锦贤.基于第二层物理隔离的网络安全模型[J].网络安全技术与应用，2002，(02).

　　[25]刘峥.XX信息化与XX网站信息资源[J].中国建设信息，2005，(07).

　　[26]曲成义.电子政务安全保障体系探索[J].信息技术与标准化，2003，(11).

　　[27]宋宇波，胡爱群.电子政务安全体系结构的探析[J].计算机工程，2003，(10).